BforBank

Compte bancaire : pourquoi posséder un smartphone va devenir indispensable

Gros plan d'un homme utilisant un mobile et une carte bancaire
© wutzkoh - Fotolia.com

A compter du 14 septembre prochain, une double authentification va devenir nécessaire pour certaines opérations sensibles, comme valider ses achats en ligne par carte bancaire ou se connecter à sa banque en ligne. Une évolution qui va faire la part belle aux smartphones et compliquer la vie de ceux qui n’en ont et/ou n’en veulent pas.

Améliorer la sécurité des usagers à l’heure de la banque numérique : c’est l’un des impératifs qui a amené la Commission européenne à réviser sa directive sur les services de paiement. Débuté en 2013, le processus de construction de cette DSP2 va trouver son épilogue, le 14 septembre prochain, avec la mise en œuvre des « normes techniques réglementaires » encadrant l’application concrète du texte.

Trop de perméabilité à la fraude

La DSP2 arrive dans un contexte où le web et le mobile sont devenus, de loin, les principaux canaux d’accès des particuliers à leur banque. Où, également, les paiements en ligne par carte bancaire explosent, en même temps que le recours au commerce électronique. Ces derniers, pourtant, restent encore trop perméables à la fraude : les paiements par carte sur internet ont représenté 70% de l'ensemble des montants détournés via les cartes bancaires en 2018, selon la Banque de France, et restent 17 fois plus risqués que les paiements en magasins.

Pour limiter les risques, la DSP2 impose donc le recours généralisé à l’authentification forte. Le terme peut paraître technique. Mais en réalité, il fait déjà partie de notre quotidien : l’utilisation du capteur biométrique du téléphone pour régler un achat avec Apple Pay ou se connecter à son application bancaire, c'est déjà de l'authentification forte.

Qu’est-ce que l’authentification forte ?

L’authentification forte repose sur l'utilisation de deux éléments indépendants, appartenant à ces catégories :

  • Quelque chose que seul l'utilisateur connaît. Par exemple, un code, une question secrète, un mot de passe, etc.
  • Quelque chose que seul l'utilisateur possède. Par exemple, un mobile, un cryptogramme à trois chiffres, une clé, etc.
  • Quelque chose que l'utilisateur est. Par exemple un facteur biométrique, comme l’empreinte digitale, ou un système de reconnaissance du visage, de l’iris, de la voix, etc.

Le smartphone, pierre angulaire du paysage post-DSP2

C’est précisément la biométrie qui a les faveurs des spécialistes pour remplacer le code à usage unique reçu par SMS, généralement utilisé actuellement pour authentifier les clients. Car celui-ci est appelé à disparaître. Il est considéré par la DSP2 comme insuffisamment sécurisé, certains fraudeurs n’hésitant pas, notamment, à détourner la ligne mobile de leurs victimes pour récupérer les SMS. Surtout, il est loin d’être généralisé : en 2018, 43% seulement des montants dépensés chez les e-commerçants ont donné lieu à une authentification 3DS. La DSP2, elle, veut atteindre les 100%.

Résultat : le smartphone, avec ses capteurs biométriques, va prendre une place de plus en plus importante pour acheter en ligne ou se connecter à sa banque en ligne. Au risque de mettre sur la touche les réfractaires à ces objets. Ou ceux qui n’ont pas les moyens de se les offrir.

Un risque d’exclusion ?

Que va-t-il se passer pour ces personnes ? Vont-elles devoir renoncer à leur compte bancaire, ou aux achats en ligne ? Le risque existe. Des internautes de cBanque n'ayant pas de smartphone s'inquiètent d'ailleurs. Les institutions, toutefois, semblent conscientes de ce risque d’exclusion. Dans le rapport 2018 de son observatoire dédié à la sécurité des moyens de paiements, la Banque de France détaille ainsi un plan de migration progressif, du code temporaire par SMS vers les nouveaux dispositifs 3DS compatibles avec la nouvelle réglementation. Objectif : qu’il soit achevé en trois ans, d’ici 2022. Un délai bienvenu pour que les banques et les commerçants trouvent des solutions universelles.

La DSP2, par ailleurs, prévoit des cas d’exemption à l’obligation d’authentification forte, dans le cas des paiements en ligne. Les opérations d’un montant inférieur à 30 euros seront par exemple exemptées. Tout comme celles effectués chez les e-commerçants affichant un faible taux de fraude. Les clients, enfin, auront la possibilité de fournir à leur banque une « liste blanche » de commerçants considérés comme fiables, et chez qui ils veulent être exemptés de contrôle. De quoi offrir un répit aux réfractaires du smartphone.

Partager cet article :

© cbanque.com / VM / Juillet 2019

Commentaires

Me prévenir en cas de nouveau commentaire
Publié le 26 juillet 2019 à 07h38 - #1Petit louis
  • Homme
  • 67 ans

Plutôt que ce futur dispositif repose sur les usagers par l'imposition de smartphones, que la recherche se poursuive pour avoir des cartes bancaires plus sûres : cryptogramme évolutif, gratuité de e-carte bleue....!!!
Non?

Trouvez-vous ce commentaire utile ?161
Publié le 26 juillet 2019 à 10h34 - #2chrishouv
  • Homme

Que faire pour les empruntes non reconnues?
Le téléphone de ma femme reconnaît bien mon index mais ne veut pas reconnaître les doigts de ma femme.
Les banques vont financer des greffes d' empruntes?

Trouvez-vous ce commentaire utile ?41
Publié le 26 juillet 2019 à 15h10 - #3frenet
  • Homme
  • Tourlaville
  • 64 ans

Il existe déjà le système e-carte à usage unique et montant fixé quelques dizaines de secondes en ligne sur le site de sa banque (avec une petite marge) qui fonctionne parfaitement.
Problème très peu de banques le proposent (CE, Banque postale et peu être quelques autres)
Je refuse pour ma part d'utiliser le 3D Secure que ma banque principale impose car le 3 est de trop. Le commerçant est sûr d'être payé, la banque peut apporter une preuve que son client a initié la transaction même s'il s'est fait voler son téléphone ou smartphone sans s'en être encore aperçu ; le 3ème n'a donc plus que ses yeux pour pleurer s'il n'a pas pris une assurance complémentaire bien évidemment payante !!
J'ai donc pris une autre carte à la Banque Postale que je n'ai utilisé qu'une seule fois dans un distributeur de la Banque Postale pour la valider, uniquement pour pouvoir disposer de l'e-carte (option payante en sus).
Un peu cher comme opération mais c'est le prix de la sérénité.

Trouvez-vous ce commentaire utile ?41
Publié le 26 juillet 2019 à 17h59 - #4menjelo

C'est une HONTE.
Tout ça uniquement pour FAIRE DU FRIC en forçant la main aux récalcitrants, dont je fais partie.
J'en suis FIER et compte bien le rester.
Quel sera pourcentages reversé aux banques par les fabricants sur ventes supplémentaires de smartphones ?
Malgré que les téléphones portables prennent de plus en plus de place, les téléphones fixes existent toujours. Ils font aussi partie de "Quelque chose que seul l'utilisateur possède" et
ONT 2 GRANDS AVANTAGES :
ON NE PEUT PAS LES PERDRE
ET JE NE CONNAIS PERSONNE A QUI ON AIT VOLE UNE LIGNE FIXE.

Trouvez-vous ce commentaire utile ?122
Publié le 27 juillet 2019 à 06h57 - #5Charlesf
  • Homme
  • Ile de France

Bonjour,
le jour où je me suis fait voler mon smartphone, impossible de me connecter aux sites à identification forte, dont mon provider, mon service de cloud on ligne etc...
Bon courage à tous!

Trouvez-vous ce commentaire utile ?90
Publié le 28 juillet 2019 à 08h08 - #6Alphonse
  • Homme
  • 62
  • 79 ans

A quand les Gillets Jaunes de la protestation bancaire?
Si toutes les opérations dont nous parlons sont réalisables au guichet de la banque: Chiche!
Et retour à l'embauche chez les banques

Trouvez-vous ce commentaire utile ?41

Ajouter un commentaire